applicationsと API がビジネスの生命線となっている今日のデジタル環境では、洗練されたボット攻撃者という静かな脅威が潜んでいます。 従来のセキュリティ対策は悪意のある攻撃を防ぐことに重点を置いていますが、自動化された脅威は人間の行動を模倣し、予期しない方法でapplicationロジックのギャップを悪用することで、検出されずに侵入します。
F5 Labs が最近リリースした「2025 年版 高度な永続的ボットに関するレポート」では、進化する高度な永続的ボットの戦術とそれがもたらす課題について明らかにしています。 レポート全体をお読みいただくことをお勧めしますが、ここでは今年の調査で私が注目した 3 つの傾向と、企業が自らを守るためにできることについて説明します。
サイバー犯罪者が簡単に入手できる盗まれた資格情報を使用して機密性の高いユーザー アカウントにアクセスするシナリオを想像してみてください。 これは、パスワードの再利用という広く行われている慣行を悪用するボットによる攻撃であるクレデンシャル スタッフィングの実態です。 F5 Labs によると、一部の組織ではログイン トラフィックの 80% 以上がボットによるクレデンシャル スタッフィング攻撃によるものだという。 報告書では、攻撃キャンペーンあたりの成功率が 1% ~ 3% と低いにもかかわらず、自動ログインの量が膨大であるため、侵害されたアカウントの数が相当数に達すると強調しています。
2022 年に発生した PayPal の情報漏洩のような事件では、約 35,000 件のユーザー アカウントがアクセスされ、収益化しやすい個人情報が漏洩しましたが、この事件によってユーザー名とパスワードの膨大なデータベースが提供され、他のオンライン サービスで悪用される可能性があります。 多くの人がパスワードを再利用するため、成功率が小さくても大きな成功につながる可能性があります。 これらの詳細は、不正な取引やデータの盗難に使用されたり、標的型攻撃のためにダークウェブで販売されたりする可能性があります。
近年、いくつかの有名ブランドがクレデンシャル スタッフィング攻撃を報告しています。 遺伝子検査会社23andMeの衰退は、顧客の健康情報や祖先の情報を漏洩させたクレデンシャル スタッフィング・キャンペーンが一因とされた。 データはダークウェブ上で、100 プロファイルあたり 1,000 ドル、100,000 プロファイルあたり最大 100,000 ドルの価格で販売されていることが判明しました。
同社は、顧客がサイトの多要素認証(MFA)オプションを採用していないことが主な失敗の原因だとしたが、実際には、クレデンシャル スタッフィングの狡猾な性質は、従来のセキュリティ対策を回避できる能力にある。 ボットは正当な資格情報を使用しており、脆弱性を悪用しようとしていないため、通常のアラームはトリガーされません。 MFA は役立ちますが、リアルタイム フィッシング プロキシ (RTPP) の増加により、完璧ではありません。 組織は、ログイン パターン、デバイスのフィンガープリント、動作の異常を分析して実際に何が起こっているかを把握するスマートなボット検出ソリューションを実装する必要があります。
金融業界や小売業界はサイバー攻撃の主な標的とみなされることが多いが、F5 Labs の調査によると、ホスピタリティ業界は悪意のあるボット活動の標的として最も多いことがわかった。 特に、「カーディング」ボットやギフトカード ボットはホスピタリティ業界の Web サイトや API をターゲットにしており、一部の組織では昨年と比べて悪意のあるボット活動が 300% 増加しています。 レポートでは、ボットのターゲットとなるギフトカードの平均金額が増加していることも指摘されています。
カーディングでは、ボットを使用して、盗まれたクレジットカード番号をチェックアウト ページや API で迅速にテストし、検証します。 ギフト カード ボットは、ロイヤルティ プログラムやギフト カード システムを悪用します。 攻撃者は、残高を確認したり、ポイントを転送したり、不正に報酬を交換したりするためにこれらを使用します。 これらのボットは、単純なパターンや連続したギフトカード ID などの脆弱性を狙うことがよくあります。
ホスピタリティ業界の脆弱性は、ロイヤルティポイントやギフトカードが本質的にデジタル通貨であるという事実に起因しています。 サイバー犯罪者はこれらの資産を簡単に現金に変換したり、商品やサービスの購入に使用したりできます。
自らを守るために、ホスピタリティ企業は、こうした種類の脅威に対処するために特別に調整された強力なボット検出および軽減戦略を実装する必要があります。 これには、ギフトカードのアクティビティの監視、トランザクション パターンの分析、人間とボットを区別できるソリューションの実装が含まれます。 かつてボットをブロックするためのソリューションとして使われていた CATPCHA は、次で説明するように、何年もの間ボット運営者によって簡単に回避されてきました。
CAPTCHA や IP ブロッキングなどの従来のボット防御は、ますます巧妙化する回避戦術に対して機能しなくなっています。 ボット運営者は、CAPTCHA の解決を人間のクリックファームに簡単にアウトソーシングすることができ、クリックファームでは、要求に応じて課題を解決する個人に少額の報酬が支払われます。
さらに、住宅プロキシネットワークの増加も重要な要因です。 これらのネットワークは、侵害されたデバイスを介して住宅 IP 経由でボット トラフィックをルーティングし、ボットの実際の IP アドレスを隠します。 F5 Labs のレポートによると、ボット運営者によって住宅用プロキシが広く使用されており、ボット トラフィックの大部分がこれらのネットワークから発生しているようです。
アイデンティティ管理ベンダーのOktaは、昨年、同社のユーザーに対するクレデンシャル スタッフィング攻撃が急増した原因として、住宅用プロキシサービスの広範な利用可能性を指摘した。 同社によると、何百万もの偽のリクエストが住宅用プロキシを経由してルーティングされ、仮想プライベートサーバー(VPS)プロバイダーのIP空間からではなく、一般ユーザーのモバイルデバイスやブラウザから発信されたように見せかけられていたという。
これらの高度な回避技術に効果的に対抗するには、組織は従来の防御を超えて、スマート ボット ソリューションを導入する必要があります。 これらのソリューションは、機械学習と行動分析を活用して、ボットの固有の特性に基づいてボットを識別します。 IP アドレスや CAPTCHA に頼るのではなく、人間のような行動に焦点を当てることで、組織は高度なボット攻撃をより正確に検出してブロックできます。
最終的に、組織が実装するボット防御のレベルは、その組織のリスク許容度によって決まります。 すべての企業は、さまざまなリスク軽減戦略の潜在的なコストと利点を比較検討し、受け入れ可能なリスクのレベルを決定する必要があります。
すべてのボット トラフィックを完全に排除することは、実現可能ではない可能性があります。また、自動化されたアクティビティの中には正当かつ有益なものもあるため、望ましいことでさえない場合があります。 ただし、悪意のあるボットの活動に対処しないと、重大な経済的損失、評判の失墜、顧客の不満につながる可能性があります。
重要なのは適切なバランスを見つけることです。 組織を標的とするさまざまな種類のボットを理解し、その活動の潜在的な影響を評価し、適切な検出および軽減策を実施することで、ボットのリスクを効果的に管理し、高度で永続的なボットの脅威からビジネスと顧客を保護することができます。
詳細については、こちらからレポート全文をお読みください。 また、 F5 分散クラウド ボット防御の Web ページもご覧ください。